[English]Sicherheitsforscher der Google Threat Analysis Group (TAG) haben Details zu einer (seinerzeit 0-Day-) Schwachstelle in der JavaScript-Engine des Internet Explorer veröffentlicht, die am 31. Oktober 2022 entdeckt wurde. Dieser 0-Day wurde von nordkoreanischen Hackern wohl aktiv ausgenutzt, um Ziele in Südkorea über kompromittierte Word-Dokumente anzugreifen. Die Schwachstelle CVE-2022-41128 wird mit Microsofts Sicherheitupdates für Windows vom 8. November 2022 (Patchday) geschlossen.
Anzeige
0-Day-Schwachstelle entdeckt
Die Google Threat Analysis Group sucht regelmäßig in Software nach 0-Day-Schwachstellen, die in freier Wildbahn ausgenutzt werden. Ende Oktober 2022 ist das Team um Benoît Sevens und Clément Lecigne auf eine solche Schwachstelle in Microsofts Internet Explorer gestoßen. Eine von der nordkoreanischen Regierung unterstützten Gruppe (APT37, auch als ScarCruft, InkySquid, Reaper und Ricochet Chollim bekannt) nutzte die Schwachstelle, um über bösartigen Code, der in Dokumente eingebettet wurde, Nutzer in Südkorea anzugreifen.
Schwachstelle im November 2022 gepatcht
Diese bösartigen Dokumente nutzten eine (damals noch ungepatchted 0-Day-Schwachstelle CVE-2022-41128 in der JScript-Engine des Internet Explorer aus. Innerhalb weniger Stunden nach der Entdeckung dieser 0-Day-Schwachstelle meldeten die Sicherheitsforscher diese Schwachstelle an Microsoft. Zum 8. November 2022 hat Microsoft dann diese Schwachstelle geschlossen (siehe Microsoft Security Update Summary (8. November 2022)). Die betreffenden Windows-Updates vom November 2022 Patchday (siehe Links am Artikelende) schützen die Benutzer vor diesen Angriffen.
Details von Google veröffentlicht
Nun hat das Google-Team zum 7. Dezember 2022 seine Entdeckung im Blog-Beitrag Internet Explorer 0-day exploited by North Korean actor APT37 offen gelegt. Aufgefallen ist diese 0-day-Schwachstelle, weil gleich mehrere Nutzer aus Südkorea zum 31. Oktober 2022 ein Microsoft Office-Dokument mit dem Titel "221031 Seoul Yongsan Itaewon accident response situation (06:00).docx" auf VirusTotal hochluden. Inzwischen erkennen viele Virenscanner den bösartigen Code (siehe Abbildung).
Anzeige
Das Dokument bezieht sich auf den tragischen Vorfall in der Umgebung von Itaewon in Seoul, Südkorea. Dort kamen während der Halloween-Feierlichkeiten am 29. Oktober 2022 viele Menschen ums Leben. Der Vorfall führte zu vielen Berichten in den Medien und der Köder in Form des Word-Dokuments nutzt das große Interesse der Öffentlichkeit an diesem Ereignis aus.
Das Dokument lud eine RTF-Vorlage (Rich Text File) aus dem Internet, die wiederum Remote HTML-Inhalte abruft. Da Office diese HTML-Inhalte mit Internet Explorer (IE) wiedergibt, wird diese Technik seit 2017 häufig verwendet, um IE-Exploits über Office-Dateien zu verbreiten (z. B. CVE-2017-0199). Die Verbreitung von IE-Exploits über diesen Vektor hat den Vorteil, dass das angegriffene Ziel/Opfer weder den Internet Explorer als Standardbrowser verwenden noch den Exploit mit einem EPM-Sandbox-Escape verketten muss.
Bei der Untersuchung der verdächtigen Datei stellten die Sicherheitsforscher der Google Threat Analysis Group (TAG) fest, dass die Angreifer eine 0-Day-Schwachstelle in der JScript-Engine (Datei jscript9.dll) des Internet Explorer ausnutzten. Ein fehlerhaftes JIT-Optimierungsproblem, das zu einer Typenverwechslung führt, lässt sich ausnutzen, um beliebigen Code auszuführen, wenn eine von einem Angreifer kontrollierte Website gerendert wird.
Die Details der Analyse sowie die Indicators of Compromise (IoCs) sind im Google Blog-Beitrag beschrieben. Die Google TAG meldete die Schwachstelle am 31. Oktober 2022 an Microsoft, und am 3. November 2022 wurde die Bezeichnung CVE-2022-41128 vergeben. Die Sicherheitslücke wurde dann zeitnah am 8. November 2022 gepatcht. (via)
Ähnliche Artikel:
Patchday: Windows 10-Updates (8. November 2022)
Patchday: Windows 11/Server 2022-Updates (8. November 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)
Anzeige
Mit dem Screenshot von oben stellt sich mir die Frage ob zum Ausnutzen des Vektors initial VBA benötigt wird? Funktioniert der Exploit auch, wenn VBA-Markos deaktiviert bzw. nur Code mit gültiger Signatur ausgeführt werden darf?
Mit höchster Wahrscheinlichkeit nicht. Also sind wie üblich vor allem die gefährdet, die Standard-Sicherheitseinstellungen ändern oder veraltete Software einsetzen.